<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
<p data-line="1" class="code-line">当たり前ですが、受注案件が増えてくると管理するインフラの数も増えます。</p>
<p data-line="3" class="code-line">TerraformのようなIaCツールを使用している場合、同じようなインフラ構成であれば１つのコードでデプロイ環境を管理するニーズがあります。（DRY原則）</p>
<p data-line="5" class="code-line">ただし、同じmoduleを使い回す場合、１つの変更でも環境の数だけplan/applyの実行が必要となるため、各アプリケーションの連携や責任を考えると<strong>複数人のローカルでデプロイを管理することは組織として避けるべき</strong>です。</p>
<p data-line="7" class="code-line">この記事では、リモートベースでTerraformのデプロイを行うツールである<strong>Atlantisを使用した複数のデプロイ環境の一元管理方法</strong>を紹介します。<br>
（私たちはこの管理方法の導入によりプロトタイプ型の開発の効率化・高速化を実現し、受託案件の受注増加に貢献しました☺️）</p>
<h1 id="atlantis" data-line="10" class="code-line">
<a class="header-anchor-link" href="#atlantis" aria-hidden="true"></a> Atlantis</h1>
<p data-line="11" class="code-line">簡単に説明すると、Atlantisとは<strong>Pull RequestのコメントでTerraformコマンドの実行が可能なTerraform管理ツール</strong>です。</p>
<p data-line="13" class="code-line">Atlantisはセルフホストで使用するOSSであり、去年CNCF Sandboxに採択されているなどホットなツールです！<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__dd56827cc0667" src="https://embed.zenn.studio/card#zenn-embedded__dd56827cc0667" data-content="https%3A%2F%2Fwww.runatlantis.io%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.runatlantis.io/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.runatlantis.io/</a></p>
<p data-line="16" class="code-line">Atlantisの利用には次のようなメリットがあります。</p>
<h2 id="1.-terraform%E3%82%92%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%E3%81%A7%E7%AE%A1%E7%90%86" data-line="17" class="code-line">
<a class="header-anchor-link" href="#1.-terraform%E3%82%92%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%E3%81%A7%E7%AE%A1%E7%90%86" aria-hidden="true"></a> 1. Terraformをリモートで管理</h2>
<p data-line="18" class="code-line">複数人のローカル環境でTerraformコマンドを実行する場合、下のような問題が起きる可能性があります。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--BFat9B5g--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/8cbff158ed6e66a4b31b1b9d.png%3Fsha%3D4237342f86761588283d224dd43f44ea1fd19663" alt="Alt text" loading="lazy" class="md-img"></p>
<p data-line="21" class="code-line">例えば任意のインフラを管理するTerraformにおいて複数人が並行してタスクを行う場合、誰かがapplyすると他の人のコードと実際のインフラ構成に差分が発生するため、予期せぬplan結果となります。<strong>(Drift Detection)</strong></p>
<p data-line="23" class="code-line">もちろん、リモートのmainブランチをSSOT(Single Source of Truth)として、常にmainは最新の状態であるような完全な開発体制が可能であれば問題はありません。</p>
<p data-line="25" class="code-line">しかし、modulesなどで複数環境を１つのTerraformで管理している場合、開発ブランチの数だけ複雑になります。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--qlqL_hu4--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/8129683ce0d872d81ea647d0.png%3Fsha%3D36f2dff4010f552fc63f29e4511c221f48ebae7a" alt="Alt text" loading="lazy" class="md-img"></p>
<p data-line="28" class="code-line">上のようにAtlantisを導入すれば次のような恩恵を受けることができます！</p>
<h3 id="%E3%83%BBpull-request%E3%81%AE%E3%82%B3%E3%83%A1%E3%83%B3%E3%83%88%E3%81%A7terraform%E3%81%AE%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%82%92%E5%AE%9F%E8%A1%8C" data-line="29" class="code-line">
<a class="header-anchor-link" href="#%E3%83%BBpull-request%E3%81%AE%E3%82%B3%E3%83%A1%E3%83%B3%E3%83%88%E3%81%A7terraform%E3%81%AE%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%82%92%E5%AE%9F%E8%A1%8C" aria-hidden="true"></a> ・Pull RequestのコメントでTerraformのコマンドを実行</h3>
<p data-line="31" class="code-line">具体的には、コメントで<code>atlantis plan</code>や<code>atlantis apply</code>を実行することでwebhookを経由してAtlantisサーバでTerraformコマンドを実行します。</p>
<p data-line="33" class="code-line">また、<code>-p</code>や<code>-d</code>のオプションを使用すればプロジェクトやディレクトリごとにTerraformコマンドの実行環境を分割できるため、簡単に複数環境でデプロイを実行できます。</p>
<h3 id="%E3%83%BBweb%E7%94%BB%E9%9D%A2%E3%81%A7state-lock%E3%82%92%E7%AE%A1%E7%90%86" data-line="35" class="code-line">
<a class="header-anchor-link" href="#%E3%83%BBweb%E7%94%BB%E9%9D%A2%E3%81%A7state-lock%E3%82%92%E7%AE%A1%E7%90%86" aria-hidden="true"></a> ・WEB画面でstate lockを管理</h3>
<p data-line="36" class="code-line">Atlantisの<strong>state lock機能</strong>は非常に優秀であり、各環境ごとにplan/applyが可能なPull Requestを唯一つに制限できます。</p>
<p data-line="38" class="code-line">環境ごとのstate状態を管理するWEB画面が存在するため、どの環境のどのPRでstate lockがかかっているかが一目でわかります。</p>
<p data-line="40" class="code-line">ちなみに、ローカル環境でstate lock機能を使用するためには、tfstateのバックエンド設定にS3とDynamoDBを設定することで実現可能です。<br>
(Terraform v1.10からはstate lockにDyanamoDBを設定する必要がないそうです！)<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__57a0792829937" src="https://embed.zenn.studio/card#zenn-embedded__57a0792829937" data-content="https%3A%2F%2Fzenn.dev%2Fterraform_jp%2Farticles%2Fterraform-s3-state-lock" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/terraform_jp/articles/terraform-s3-state-lock" style="display:none" target="_blank">https://zenn.dev/terraform_jp/articles/terraform-s3-state-lock</a></p>
<h3 id="%E3%83%BBapply%E5%BE%8C%E3%81%ABpull-request%E3%82%92%E3%83%9E%E3%83%BC%E3%82%B8" data-line="45" class="code-line">
<a class="header-anchor-link" href="#%E3%83%BBapply%E5%BE%8C%E3%81%ABpull-request%E3%82%92%E3%83%9E%E3%83%BC%E3%82%B8" aria-hidden="true"></a> ・apply後にPull Requestをマージ</h3>
<p data-line="47" class="code-line">Terraformのデプロイパイプラインツールとして有名なHCP Terraform（Terraform Cloud）は、SSOTなmainブランチの内容をもとにplan/applyを実行するSaaSプラットフォームなため、applyによるエラーは別途mainブランチを修正して再度plan/applyを実行する必要があります。</p>
<p data-line="49" class="code-line">その点、AtlantisはPull Request上のコメントでplan/applyを実行するため、planで検知できないようなapplyエラーに対してもそのPull Request上で迅速に対応できます。</p>
<p data-line="51" class="code-line">さらに、atlantisをカスタマイズすればいくつかのブランチルールをplan/applyに対しても適用できます。</p>
<p data-line="53" class="code-line">例えば、<code>approved</code>を適用すればコマンド実行にapproveが必須となり、<code>undiverged</code>を適用すれば最新のmainブランチの反映が必須となるため、よりレビューベースでplan/applyを実行できます。</p>
<p data-line="55" class="code-line">より具体的にAtlantisを紹介していた記事があるので、気になる方は参考にしてください。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__0e02c509e8f66" src="https://embed.zenn.studio/card#zenn-embedded__0e02c509e8f66" data-content="https%3A%2F%2Fzenn.dev%2Fmagicmoment%2Farticles%2Fmanage-terraform-with-atlantis-20241211" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/magicmoment/articles/manage-terraform-with-atlantis-20241211" style="display:none" target="_blank">https://zenn.dev/magicmoment/articles/manage-terraform-with-atlantis-20241211</a></p>
<h2 id="2.-atlantis%E3%81%AB%E5%BF%85%E8%A6%81%E3%81%AA%E6%A8%A9%E9%99%90%E3%81%A8%E3%82%B3%E3%82%B9%E3%83%88%E3%81%AF%E3%82%BB%E3%83%AB%E3%83%95%E3%83%9B%E3%82%B9%E3%83%88%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%90%E3%81%AE%E3%81%BF" data-line="58" class="code-line">
<a class="header-anchor-link" href="#2.-atlantis%E3%81%AB%E5%BF%85%E8%A6%81%E3%81%AA%E6%A8%A9%E9%99%90%E3%81%A8%E3%82%B3%E3%82%B9%E3%83%88%E3%81%AF%E3%82%BB%E3%83%AB%E3%83%95%E3%83%9B%E3%82%B9%E3%83%88%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%90%E3%81%AE%E3%81%BF" aria-hidden="true"></a> 2. Atlantisに必要な権限とコストはセルフホストのサーバのみ</h2>
<p data-line="59" class="code-line">HCP Terraformはマネージドなデプロイパイプラインが簡単に組める点では非常に魅力的です。しかし、HCP Terraformはresourceの数が500を超えると従量的にコストがかかるようです。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__543dc61b3eadd" src="https://embed.zenn.studio/card#zenn-embedded__543dc61b3eadd" data-content="https%3A%2F%2Fwww.hashicorp.com%2Fproducts%2Fterraform%2Fpricing%3Fproduct_intent%3Dterraform" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.hashicorp.com/products/terraform/pricing?product_intent=terraform" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.hashicorp.com/products/terraform/pricing?product_intent=terraform</a><br style="display:none">
案件の数に比例してリソースも増えるため、コストの観点だけを見ればHCP Terraformはおすすめできません。その点、AtlantisはセルフホストなOSSであるため、リソースがいくら増えようとも<strong>Atlantisサーバのランニングコストのみ</strong>です。</p>
<p data-line="64" class="code-line">また、複数環境のようにAWSマルチアカウント環境に対してローカルでterraformコマンドを実行する場合、<strong>開発者数×環境数のエンティティに実行権限を発行</strong>する必要がありました。</p>
<p data-line="66" class="code-line">漏洩対策でIAMユーザではなくSSOにしている場合でも、AWSアカウントの数が増えるほどprofileの切り替え忘れなどによるヒューマンエラーの可能性が増えます。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--mCl9TNJA--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/1d6459fa87189c977244f6ac.png%3Fsha%3Daafefa0d02d8b8a452d1347f987f3ab74708a1ed" alt="Alt text" loading="lazy" class="md-img"></p>
<p data-line="69" class="code-line">AWSの場合、AtlantisをEC2やECSにホストすれば実行権限のエンティティをAWSリソースにできるため、開発者ごとに実行権限を発行する必要がありません。</p>
<p data-line="71" class="code-line">そして、上図のようにAtlantisサーバが存在する管理アカウントを起点としたクロスアカウントの設定を行えば、<code>atlantis plan -p projectA</code>や<code>atlantis plan -p projectB</code>のようにコマンドだけでデプロイ環境を切り替えることができます。</p>
<p data-line="73" class="code-line">もちろんコマンドミスも考えられますが、state lock機能やapproved機能など様々なヒューマンエラーを防ぐ方法があるため安心です。</p>
<h1 id="terraform%E6%A7%8B%E6%88%90" data-line="75" class="code-line">
<a class="header-anchor-link" href="#terraform%E6%A7%8B%E6%88%90" aria-hidden="true"></a> Terraform構成</h1>
<p data-line="76" class="code-line">最後に私たちが実際に運用しているTerraform構成の概要を紹介します。</p>
<details><summary>ディレクトリ構成</summary><div class="details-content"><div class="code-block-container"><pre><code class="code-line" data-line="78">├── atlantis.yaml
├── accounts
│   ├── management
│   │   ├── main.tf
│   │   ├── iam_for_tfstate.tf
│   │   └── iam_for_atlantis.tf
│   ├── projectA
│   │   ├── main.tf
│   │   ├── iam_for_tfstate.tf
│   │   └── iam_for_atlantis.tf
│   └── projectB
├── applications
│   ├── projectA
│   │   ├── prod
│   │   │   ├── main.tf
│   │   │   ├── locals.tf
│   │   │   └── modules.tf
│   │   └── staging
│   └── projectB
│       ├── prod
│       └── staging
├── managements
│   └── atlantis
│       ├── main.tf
│       ├── iam.tf
│       └── modules.tf
├── modules
│   ├── vpc
│   ├── alb
│   ├── ecs
│   ├── rds
│   ├── ...
</code></pre></div></div></details>
<ul data-line="113" class="code-line">
<li data-line="113" class="code-line">atlantis.yaml
<ul data-line="114" class="code-line">
<li data-line="114" class="code-line">
<code>-p</code>オプションやTerraformコマンドの実行順序などの設定ファイル</li>
</ul>
</li>
<li data-line="115" class="code-line">accounts
<ul data-line="116" class="code-line">
<li data-line="116" class="code-line">Terraformコマンドの実行権限やバックエンドのアクセス権限などクロスアカウントのためのIAMを作成</li>
</ul>
<details><summary>(例) iam_for_atlantis.tf</summary><div class="details-content"><div class="code-block-container"><pre><code class="code-line" data-line="118">resource "aws_iam_role" "atlantis_access_from_management_account" {
    name = "atlantis-access-from-management-account"

    assume_role_policy = jsonencode({
        "Version" : "2012-10-17",
        "Statement" : [
            {
                "Effect" : "Allow",
                "Principal" : {
                "AWS" : "arn:aws:iam::{management_account_id}:root"
            },
                "Action" : "sts:AssumeRole",
                "Condition" : {}
            }
        ]
    })
}

data "aws_iam_policy" "atlantis_access" {
    arn = "arn:aws:iam::aws:policy/AdministratorAccess"
}


resource "aws_iam_role_policy_attachment" "atlantis_access" {
    role       = aws_iam_role.atlantis_access_from_management_account.name
    policy_arn = data.aws_iam_policy.atlantis_access.arn
}
</code></pre></div></div></details>
</li>
<li data-line="148" class="code-line">applications
<ul data-line="149" class="code-line">
<li data-line="149" class="code-line">各プロジェクトのインフラ設定</li>
</ul>
</li>
<li data-line="150" class="code-line">managements/atlantis
<ul data-line="151" class="code-line">
<li data-line="151" class="code-line">atlantisサーバの設定</li>
</ul>
<details><summary>(例) iam.tf</summary><div class="details-content"><div class="code-block-container"><pre><code class="code-line" data-line="153">target_accounts = [
    { id = "111111111111", name = "projectA" },
    { id = "222222222222", name = "projectB" },
]
resource "aws_iam_policy" "atlantis_access_policy" {
    name = "atlantis-access-policy"
    policy = jsonencode({
        "Version" : "2012-10-17",
        "Statement" : [
            for account in local.target_accounts : {
                "Effect" : "Allow",
                "Action" : "sts:AssumeRole",
                "Resource" : "arn:aws:iam::${account.id}:role/atlantis-access-from-management-account"
            }
        ]
    })
}

resource "aws_iam_policy" "s3_tfstate_access_policy" {
    name = "s3-tfstate-access-policy"
    policy = jsonencode({
        "Version" : "2012-10-17",
        "Statement" : [
            for account in local.target_accounts : {
                "Effect" : "Allow",
                "Action" : "sts:AssumeRole",
                "Resource" : "arn:aws:iam::${account.id}:role/s3-tfstate-access-from-management-account"
            }
        ]
    })
}
</code></pre></div></div></details>
</li>
<li data-line="187" class="code-line">modules
<ul data-line="188" class="code-line">
<li data-line="188" class="code-line">インフラの基盤となるmodule群</li>
</ul>
</li>
</ul>
<p data-line="190" class="code-line">下の記事のようにmoduleを使わずにtfstateの切り替えを行う方法もありますが、私たちの場合すべての案件で同じ構成になるわけではない（例えばメールは使わないためSESを外すなど）ため、moduleで複数環境を管理する方法を取りました。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__d3afbd1321261" src="https://embed.zenn.studio/card#zenn-embedded__d3afbd1321261" data-content="https%3A%2F%2Fzenn.dev%2Fsmartround_dev%2Farticles%2F5e20fa7223f0fd" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/smartround_dev/articles/5e20fa7223f0fd" style="display:none" target="_blank">https://zenn.dev/smartround_dev/articles/5e20fa7223f0fd</a></p>
<p data-line="193" class="code-line">ちなみに、Atlantisサーバのホスト方法ですが、Terraform moduleが提供されているため簡単に構築できます。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__60fbf7ced39e7" src="https://embed.zenn.studio/card#zenn-embedded__60fbf7ced39e7" data-content="https%3A%2F%2Fregistry.terraform.io%2Fmodules%2Fterraform-aws-modules%2Fatlantis%2Faws%2Flatest" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://registry.terraform.io/modules/terraform-aws-modules/atlantis/aws/latest" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://registry.terraform.io/modules/terraform-aws-modules/atlantis/aws/latest</a></p>
<p data-line="196" class="code-line">このようなディレクトリ構成にすることで、新たに案件が始まった場合も簡単にAWSアカウントを追加して検証や本番環境の作成・保守が可能になりました！</p>


【Atlantis】複数のTerraformデプロイ環境の一元管理

・Pull RequestのコメントでTerraformのコマンドを実行

2. Atlantisに必要な権限とコストはセルフホストのサーバのみ

Discussion